การสร้างและการรับรองคีย์ด้วย YubiKey สำหรับใบรับรองการลงนามรหัส

สำหรับวัตถุประสงค์ของ การลงรหัสจำเป็นต้องสร้างและจัดเก็บคีย์ส่วนตัวของคุณอย่างปลอดภัยบนอุปกรณ์ฮาร์ดแวร์ภายนอกที่ผ่านการตรวจสอบ FIPS แทนที่จะเป็นคอมพิวเตอร์ของคุณ ผู้ใช้สามารถสร้างคู่คีย์บน YubiKey ที่มีอยู่และ ใบรับรองการยืนยัน ซึ่งเป็นการพิสูจน์ว่าคีย์ส่วนตัวถูกสร้างขึ้นบนอุปกรณ์นั้น ใบรับรองการรับรองนี้สามารถนำไปใช้เพื่อขอรับใบรับรองการลงนามรหัสจาก SSL.com ซึ่งอาจติดตั้งด้วยตนเองบน YubiKey ได้

ใบรับรองการรับรองความถูกต้องใช้ได้กับ YubiKey เพียงใบเดียวเท่านั้น หากคุณต้องการติดตั้งใบรับรองใน YubiKey หลายใบ คุณจะต้องทำการรับรองความถูกต้องสำหรับโทเค็นแต่ละใบ กรุณาติดต่อ สนับสนุน@ssl.com เพื่อรับรายละเอียดเพิ่มเติมเกี่ยวกับการออกใบรับรองหลาย ๆ ครั้ง

วิธีการนี้จะแนะนำคุณผ่าน:

• กำลังสร้าง คู่กุญแจ และ ใบรับรองการยืนยัน บน Yubikey ของคุณ
• การตรวจสอบ ใบรับรองการรับรองและเชื่อมโยงกับคำสั่งลงนามรหัส EV ของ SSL.com
• ดาวน์โหลด ใบรับรองการลงนามรหัสของคุณ
• การติดตั้ง ใบรับรองใหม่ของคุณใน YubiKey

ข้อกำหนด

1. รุ่นล่าสุดของ Authenticator Yubico และ อินเทอร์เฟซบรรทัดคำสั่ง (CLI) ของ ykman. 
   
   หมายเหตุ
   
   ในการสร้างคู่คีย์และติดตั้งใบรับรองการลงนามรหัสในภายหลัง โปรดดาวน์โหลดเครื่องมือนี้: ส่วนติดต่อผู้ใช้แบบกราฟิก (GUI) ของ Yubico Authenticator. 

   ในการสร้างใบรับรองการรับรอง ให้ใช้โปรแกรม ykman Command Line Interface (CLI) ซึ่งรวมอยู่ในแพ็กเกจดาวน์โหลดนี้: YubiKey Manager
   
   หลังจากติดตั้งแล้ว เครื่องมือทั้งสองนี้จะถูกจัดเก็บไว้ในโฟลเดอร์ Yubico บนคอมพิวเตอร์ของคุณ
   
   

2. ยูบิคีย์ของคุณ PIN และ PUK กำหนดค่าบน Authenticator Yubico. หากคุณซื้อโทเค็น YubiKey จาก Yubico คุณจะต้องตั้งค่า PIN และ PUK ด้วยตนเอง ในการดำเนินการนี้ให้เปิด ตัวตรวจสอบความถูกต้องของ Yubico คลิก ใบรับรอง แท็บ บน จัดการ ส่วนนี้คุณจะเห็นตัวเลือกในการกำหนดค่าของคุณ PIN และ PUK. 
   

ขั้นตอนที่ 1: สร้าง Key Pair บน YubiKey

1. ดาวน์โหลด Authenticator Yubico.
   
   
2. เสียบ YubiKey ของคุณ จากนั้นเปิด Yubico Authenticator
   
   
3. ภายใต้ ใบรับรอง ในส่วนนี้ ให้เลือกแท็บที่ตรงกับช่อง YubiKey ที่คุณต้องการสร้างคู่คีย์ สำหรับใบรับรองการลงนามรหัส ให้เลือก การรับรองความถูกต้อง (slot 9a). คลิกที่ สร้างคีย์ เพื่อดำเนินการต่อ.
   

4. เกี่ยวกับ หัวข้อ ในช่อง ให้ใส่ชื่อเฉพาะ (DN) สำหรับใบรับรองการลงนามรหัส นี่คือชื่อขององค์กรหรือบุคคล และจะแสดงบนซอฟต์แวร์ใดๆ ที่ได้รับการลงนามโดยใช้ใบรับรองนี้ โปรดตรวจสอบให้แน่ใจว่าได้พิมพ์อักขระครบถ้วนแล้ว CN= ก่อนพิมพ์ชื่อเฉพาะ ตัวอย่าง: CN=Example Company.

   ใช้เพื่อการ รูปแบบผลลัพธ์เลือก คำขอลงนามใบรับรอง (CSR).

   จาก ขั้นตอนวิธี รายการแบบดรอปดาวน์ เลือกตัวเลือกสำหรับการลงนามรหัส ให้เลือกใช้ อีซีซีพี256 or อีซีซีพี384.
   
   สุดท้ายคลิกที่ ลด ปุ่ม
   
   
5. บันทึก CSR ใบรับรองอยู่ในโฟลเดอร์
   

ขั้นตอนที่ 2: สร้างใบรับรองการยืนยัน

YubiKey แต่ละอันมาพร้อมกับคีย์ส่วนตัวและใบรับรองจาก Yubico ที่ให้คุณสร้าง ใบรับรองการยืนยัน เพื่อตรวจสอบว่าคีย์ส่วนตัวถูกสร้างขึ้นบน YubiKey หรือไม่ การดำเนินการนี้จำเป็นต้องใช้ ยัคแมน อินเทอร์เฟซบรรทัดคำสั่ง (CLI) ซึ่งตั้งอยู่ใน ผู้จัดการ YubiKey โฟลเดอร์ในคอมพิวเตอร์ของคุณ ในการเข้าถึง ykman CLI คุณจะต้องใช้ Windows PowerShell ตามขั้นตอนต่อไปนี้

1. ใน Windows ให้เปิด PowerShell ในฐานะผู้ดูแลระบบ ผู้ใช้ macOS และ Linux ควรเปิดหน้าต่างเทอร์มินัลบนอุปกรณ์ของตน
   

2.  ใช้ cd (ใช้คำสั่ง Change Directory) เพื่อไปยังไฟล์ YubiKey Manager และเข้าถึงไฟล์เหล่านั้น ยัคแมนหากต้องการทำเช่นนี้บน Windows ให้ทำตามขั้นตอนต่อไปนี้ตามลำดับในบรรทัดเดียวกันใน PowerShell:
   
   ประเภท cd บนพาวเวอร์เชลล์
   ข่าวประชาสัมพันธ์ ช่องว่าง
   คัดลอกพาธของโฟลเดอร์ที่ ykman อยู่ จากนั้นใส่ไว้ในวงเล็บปิด เครื่องหมายอัญประกาศคู่. ตัวอย่าง: "C:\Program Files\Yubico\YubiKey Manager"
ข่าวประชาสัมพันธ์ เข้าสู่
   

   • Windows:

     ซีดี "C:\Program Files\Yubico\YubiKey Manager"

   • MacOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • บน Linux (Ubuntu) ykman คำสั่งจะถูกติดตั้งในของคุณ PATHดังนั้นคุณสามารถข้ามขั้นตอนนี้ได้
     
     
3. สร้างใบรับรองการรับรอง หลังจากเปลี่ยนไปใช้ ykman ผ่าน PowerShell แล้ว ให้ใช้คำสั่งด้านล่างเพื่อสร้างใบรับรองการรับรอง ซึ่งจะอยู่ในรูปแบบไฟล์ข้อความ บน Windows คำสั่งจะมีลักษณะดังนี้: .\ykman.exe piv keys attest 9a C:\Folder\Folder\attestation\attestationfilename
   
   มาลองวิเคราะห์กันดู:
   
   a. คัดลอกข้อความนี้ลงใน PowerShell: .\ykman.exe piv keys attest 9a 
   
   b. ในบรรทัดเดียวกันบน PowerShell ให้คัดลอกเส้นทางโฟลเดอร์ที่คุณต้องการจัดเก็บใบรับรองการรับรอง เลือก/สร้างโฟลเดอร์ในคอมพิวเตอร์ของคุณ ตัวอย่าง: C:\Folder\Folder\attestation.
   
   โปรดเลือก/สร้างโฟลเดอร์ที่มีชื่อเป็นคำเดียวหรือไม่มีช่องว่าง เพื่อหลีกเลี่ยงข้อผิดพลาดเมื่อป้อนคำสั่งใน PowerShell 
   
   ค. คิดชื่อที่คุณต้องการใช้สำหรับใบรับรอง ต่อท้ายเส้นทางโฟลเดอร์ที่คุณคัดลอกไปยัง PowerShell ด้วยเครื่องหมายแบ็กสแลช (\) และชื่อที่คุณต้องการใช้สำหรับใบรับรองการรับรอง ตัวอย่าง:\attestationfilename 
   
   โปรดตรวจสอบให้แน่ใจว่าได้ตั้งชื่อไฟล์โดยไม่มีอักขระพิเศษและไม่มีช่องว่าง เพื่อหลีกเลี่ยงข้อผิดพลาดเมื่อป้อนคำสั่งใน PowerShell 
   
   d. กด Enter ใน PowerShell เพื่อสร้างไฟล์ข้อความใบรับรองการรับรองขั้นสุดท้าย
   
   หลังจากป้อนคำสั่งแล้ว ให้ตรวจสอบในโฟลเดอร์ที่กำหนดไว้ในคอมพิวเตอร์ของคุณว่าใบรับรองการรับรองได้ถูกสร้างขึ้นสำเร็จหรือไม่ ใบรับรองจะอยู่ในรูปแบบไฟล์ข้อความและมีชื่อตามที่คุณตั้งไว้ เมื่อเปิดแล้ว จะแสดงเนื้อหาที่เป็นตัวอักษรและตัวเลข โดยมีหัวข้อกำกับอยู่ —–BEGIN ใบรับรอง—– ที่ด้านบนและ —–END ใบรับรอง - ตอนท้าย
   
   
   • Windows:

     .\ykman.exe piv keys attest 9a C:\Folder\Folder\attestation\attestationfilename

   • ลินุกซ์ (Ubuntu):

     คีย์ piv ของ ykman ยืนยัน 9a ATTESTATION-FILENAME.crt

   • MacOS:

     ./ykman piv คีย์ยืนยัน 9a ATTESTATION-FILENAME.crt

4. ส่งออกใบรับรองระดับกลาง ถัดไปใช้ ykman คำสั่งนี้ใช้สำหรับส่งออกใบรับรองระดับกลางจากช่อง f9 ของ YubiKey ใบรับรองจะอยู่ในรูปแบบไฟล์ข้อความ คำสั่งจะมีลักษณะดังนี้: .\ykman.exe piv certificates export f9 C:\Folder\Folder\attestation\intermediatefilename
   
   มาลองวิเคราะห์กันดู: 
   
   ก. คัดลอกข้อความนี้ลงใน PowerShell: .\ykman.exe piv certificates export f9
b. เลือกหรือสร้างโฟลเดอร์ในคอมพิวเตอร์ของคุณ (เช่น โฟลเดอร์เอกสาร) ที่คุณต้องการส่งออกใบรับรองระดับกลาง คัดลอกที่อยู่โฟลเดอร์ไปยัง PowerShell ตัวอย่าง: C:\Folder\Folder\attestation
   ค. สร้างชื่อไฟล์สำหรับใบรับรองระดับกลาง เพิ่มเครื่องหมายแบ็กสแลช (/) หน้าชื่อไฟล์ และต่อท้ายที่อยู่โฟลเดอร์ที่คุณคัดลอกไปยัง PowerShell โดยไม่ต้องเว้นวรรค ตัวอย่าง: \intermediatefilename
   ง. กด เข้าสู่เมื่อคุณป้อนคำสั่งแล้ว ใบรับรองระดับกลางจะปรากฏในโฟลเดอร์ที่กำหนด โดยใช้ชื่อที่คุณตั้งไว้ เมื่อเปิดดู จะแสดงเนื้อหาที่เป็นตัวอักษรและตัวเลข โดยมีส่วนหัวกำกับอยู่ —–BEGIN ใบรับรอง—– ที่ด้านบนและ —–END ใบรับรอง - ตอนท้าย 
   
   
   • • Windows:

       .\ykman.exe ส่งออกใบรับรอง piv f9 C:\Folder\Folder\attestation\intermediatefilename

   • ลินุกซ์ (Ubuntu):

     ykman piv ใบรับรองส่งออก f9 INTERMEDIATE-FILENAME.crt

   • MacOS:

     ./ykman piv ใบรับรองส่งออก f9 INTERMEDIATE-FILENAME.crt

ขั้นตอนที่ 3: ตรวจสอบใบรับรองการรับรองด้วย SSL.com และแนบกับคำสั่งซื้อ

1. ในที่นี้ เราจะใช้ใบรับรองการรับรองจากช่องเสียบ 9a ของ YubiKey ร่วมกับคำสั่งใบรับรองการลงนามรหัส EV ก่อนอื่น ให้เปิดใบรับรองการรับรองและใบรับรองระดับกลางในโปรแกรมแก้ไขข้อความ
   
2. เข้าสู่ระบบบัญชีผู้ใช้ SSL.com ของคุณและไปที่ไฟล์ รายการสั่งซื้อ แท็บ คลิกลิงก์ที่มีป้ายกำกับ รายละเอียด (สำหรับคำสั่งซื้อใหม่) หรือ ดาวน์โหลด (สำหรับคำสั่งซื้อเก่า) สำหรับคำสั่งซื้อที่คุณต้องการเชื่อมโยงกับใบรับรอง (ลิงก์นี้จะปรากฏเป็น ดาวน์โหลด สำหรับลูกค้าที่มีใบอนุญาตลงนามหมดอายุและต้องการขอใบอนุญาตใหม่)
   หมายเหตุ หากคุณต้องการตรวจสอบความถูกต้องของใบรับรองการรับรองของคุณโดยไม่ต้องแนบกับคำสั่งซื้อคุณสามารถใช้ SSL.com เครื่องมือตรวจสอบการยืนยัน.
   
3. เลือกกรณีการใช้งานของคุณด้านล่าง:
   ก. สำหรับลูกค้าที่มี YubiKey ว่างเปล่า โปรดคลิกที่นี่ จัดการ ลิงก์ภายใต้ การรับรอง.
   ข. สำหรับลูกค้าที่ต้องการเปลี่ยนใบรับรองการลงนามที่หมดอายุแล้ว โปรดคลิกที่นี่ ลบ ก่อนอื่นให้คลิกลิงก์เพื่อลบการส่งเอกสารรับรองก่อนหน้านี้สำหรับใบรับรองการลงนามที่หมดอายุของคุณ จากนั้นคลิกที่ลิงก์ จัดการ ลิงค์.
4. หน้าใหม่ที่มีช่องสำหรับการรับรองและใบรับรองระดับกลางจะปรากฏขึ้น
   
   
5. วางใบรับรองการรับรองลงในไฟล์ ใบรับรองการยืนยัน ฟิลด์ตรวจสอบให้แน่ใจว่าได้รวมบรรทัด -----BEGIN CERTIFICATE----- และ -----END CERTIFICATE-----.
   
6. จากนั้นวางใบรับรองระดับกลางลงในไฟล์ ใบรับรองระดับกลาง สนาม
7. คลิก ยื่นฟอร์ม ปุ่ม
8. หากทุกอย่างเป็นไปอย่างถูกต้องการแจ้งเตือนสีเขียวจะปรากฏขึ้นที่ด้านบนของหน้าจอเพื่อแสดงว่าการยืนยันสำเร็จ

ขั้นตอนที่ 4: ดาวน์โหลดใบรับรองการลงนามรหัสของคุณ

1. เมื่อ SSL.com อนุมัติคำรับรองของคุณและออกใบรับรองให้แล้ว คุณสามารถดาวน์โหลดได้ โดยเข้าสู่ระบบบัญชี SSL.com ของคุณแล้วคลิก รายการสั่งซื้อ จากเมนูหลักด้านบน ค้นหารายการสั่งซื้อของคุณแล้วคลิก ดาวน์โหลด ลิงค์ 
   
2. เมื่อหน้าดาวน์โหลดปรากฏขึ้น ให้เลื่อนลงไปที่ ใบรับรองผู้ใช้งานปลายทาง ส่วนนี้ คลิกที่ลูกศรแบบพับได้เพื่อดูรายละเอียดใบรับรองของคุณ ทางด้านขวาคุณจะเห็นตัวเลือกรูปแบบการดาวน์โหลดที่มีให้เลือก เลือก ใบรับรองส่วนบุคคล และคลิกที่ ดาวน์โหลด ปุ่มนี้ ไฟล์ซิปนี้ประกอบด้วยไฟล์ใบรับรองสามไฟล์ ได้แก่ ใบรับรองปลายทาง ใบรับรองระดับกลาง และใบรับรองราก ในภายหลัง คุณจะต้องนำเข้าเฉพาะใบรับรองปลายทางลงใน YubiKey ของคุณเท่านั้น 
   
3. แตกไฟล์ซิปที่ดาวน์โหลดมา
4. เลือกตำแหน่งที่จะแตกไฟล์ แล้วคลิก สารสกัด ปุ่ม
5. เปิดโฟลเดอร์ที่มีใบรับรองที่แตกไฟล์ออกมา คุณจะเห็นใบรับรองสามใบ แต่คุณจะต้องติดตั้งเฉพาะใบรับรองสำหรับผู้ใช้งานปลายทางเท่านั้น ซึ่งก็คือ... ไฟล์ .CRT และมีชื่อของบุคคลหรือองค์กรนั้นปรากฏอยู่ จากตรงนี้ คุณก็พร้อมที่จะติดตั้งใบรับรองของคุณแล้ว
   

ขั้นตอนที่ 5: ติดตั้งใบรับรองใน YubiKey  

1. เปิดตัวตรวจสอบสิทธิ์ Yubico
   
   
2. คลิก ใบรับรอง, ติดตามโดย 9a การตรวจสอบสิทธิ์และ ไฟล์นำเข้า
   
3. ป้อนรหัส PIN ของ YubiKey เมื่อระบบถาม
   
4. ไปยังโฟลเดอร์ที่แตกไฟล์ใบรับรองไว้ แล้วคลิกใบรับรองการลงนามรหัสของเอนทิตีปลายทางของคุณ
   
5. Yubico Authenticator จะแสดงรายละเอียดของใบรับรองการลงนามรหัสของคุณ คลิก ใบอนุญาตนำเข้า ปุ่ม.
   
   
6. ตอนนี้ใบรับรองของคุณได้รับการติดตั้งสำเร็จแล้ว
   
7. ขั้นตอนเพิ่มเติมหากคุณเป็นลูกค้าที่เปลี่ยนใบรับรองที่หมดอายุใน YubiKey ของคุณ คุณจะต้องลบสำเนาใบรับรองที่หมดอายุซึ่งยังคงอยู่ในที่เก็บใบรับรองของ Windows ด้วย วิธีการทำคือ พิมพ์คำสั่งต่อไปนี้ ใบรับรอง บนแถบค้นหา Windows ของคอมพิวเตอร์ของคุณ จากนั้นคลิก จัดการใบรับรองคอมพิวเตอร์. คลิก บัญชีส่วนบุคคล โฟลเดอร์ ค้นหาใบรับรองการลงนามที่หมดอายุ คลิกขวาด้วยเมาส์ และเลือก ลบ.
   

การแก้ไขปัญหาการรับรองการลงนามรหัส 

If SSL.com หากระบบปฏิเสธการยื่นเอกสารรับรองของคุณ อาจเป็นเพราะสาเหตุใดสาเหตุหนึ่งดังต่อไปนี้

1. ขั้นตอนที่ 1: สร้าง Key Pair บน YubiKey
   1. คำขอลงนามใบรับรองของคุณ (CSR) ถูกปฏิเสธโดย Yubico Authenticator
      • คุณต้องใส่ตัวละครเข้าไปด้วย CN= ในช่องหัวเรื่อง Yubico Authenticator จะปฏิเสธ CSR หากไม่ดำเนินการเช่นนี้ 
      • ต้องเลือก ECCP256 or ECCP384 สำหรับอัลกอริทึม มีเพียงสองประเภทนี้เท่านั้นที่ยอมรับได้สำหรับใบรับรองการลงนามรหัส
        
        
2. ขั้นตอนที่ 2: สร้างใบรับรองการยืนยัน
   1. คุณไม่สามารถเข้าถึง ykman CLI ได้
      • คุณไม่สามารถเข้าถึง ykman ได้โดยการดับเบิ้ลคลิกไอคอนของแอปพลิเคชันบน YubiKey Manager คุณสามารถใช้งานได้โดยการเปิดแอปพลิเคชันเชลล์ เช่น PowerShell ก่อน จากนั้นใช้คำสั่ง Change Directory (cd) เพื่อเรียกใช้งาน 
      • เมื่อพิมพ์คำสั่ง cd ใน PowerShell ควรเว้นวรรคระหว่างคำ cd และเส้นทางโฟลเดอร์ของ ykman CLI ตัวอย่าง: cd “C:\Program Files\Yubico\YubiKey Manager”
      • ควรใส่เครื่องหมายอัญประกาศคู่คร่อมพาธโฟลเดอร์ ykman CLI ตัวอย่าง: “C:\Program Files\Yubico\YubiKey Manager”
   2. ไม่สามารถออกใบรับรองและเอกสารรับรองขั้นกลางได้
      • โปรดเลือก/สร้างโฟลเดอร์ที่มีชื่อเป็นคำเดียวหรือไม่มีช่องว่าง เพื่อหลีกเลี่ยงข้อผิดพลาดเมื่อป้อนคำสั่งใน PowerShell  
      • โปรดตรวจสอบให้แน่ใจว่าได้ตั้งชื่อไฟล์ให้สั้นและเป็นคำเดียวโดยไม่มีอักขระพิเศษ เพื่อหลีกเลี่ยงข้อผิดพลาดเมื่อป้อนคำสั่งใน PowerShell  
        
        
3. ขั้นตอนที่ 3: ตรวจสอบใบรับรองการรับรองด้วย SSL.com และแนบกับคำสั่งซื้อ
   1. เอกสารรับรองและใบรับรองระดับกลางไม่ได้รับการส่งมาให้ฉัน SSL.com บัญชี
      • เมื่อเปิดไฟล์เหล่านั้นด้วยโปรแกรมแก้ไขข้อความ เช่น Notepad โปรดตรวจสอบให้แน่ใจว่าได้คัดลอกเนื้อหาทั้งหมดของไฟล์ รวมถึงส่วนหัวและส่วนท้ายด้วย —–BEGIN ใบรับรอง—– ที่ด้านบนและ —–END ใบรับรอง - ตอนท้าย 

คู่มือที่เกี่ยวข้องสำหรับการลงนามรหัสด้วย YubiKey ของคุณ

1. ใช้ใบรับรองการลงทะเบียนรหัสของคุณ: เรียนรู้วิธีการลงนามแอปพลิเคชันโดยใช้ใบรับรองการลงนามรหัส OV หรือ EV ของคุณด้วย Microsoft SignTool